Introduction
Este documento descreve como configurar o ESA (Email Security Appliance, dispositivo de segurança de e-mail) para tomar qualquer ação na verificação de E-mail identificado de chaves de domínio (DKIM) por meio de um filtro de conteúdo de entrada ou de uma configuração de filtro de mensagem.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- ESA
- Conhecimento básico da configuração do filtro de conteúdo
- Conhecimento básico da configuração dos filtros de mensagem
- Centralizando o conhecimento de configuração de política, vírus e quarentena de detecção
Componentes Utilizados
Este documento não se restringe a versões de software e hardware específicas.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Etapa 1. Configurar verificação DKIM
Verifique se a verificação DKIM está habilitada. Navegue para Políticas de e-mail > Políticas de fluxo de e-mail.
Para configurar a verificação DKIM no ESA é semelhante à verificação SPF. Em Default Policy Parameters of Mail Flow Policies, basta ativar a verificação DKIM para On.
Etapa 2. Verificar ação final
Primeiro, identifique a ação a ser tomada de acordo com a verificação DKIM. Ex: soltar, adicionar uma marca ou quarentena. Se a ação final for colocar o e-mail em quarentena, revise as quarentenas configuradas.
- Se você não usar o gerenciamento centralizado:
Navegue para ESA >Monitor> Quarentenas de política, vírus e epidemia.
- Se você configurou o gerenciamento centralizado (SMA):
Navegue para SMA > E-mail >Quarentena de mensagem >Quarentenas de política, vírus e epidemia, conforme mostrado na imagem:
Se não houver quarentena específica para os serviços DKIM/Domain-based Message Authentication, Reporting & Conformance (DMARC)/Sender Policy Framework (SPF). É recomendável criar um.
Durante as quarentenas de política, vírus e epidemia, selecione Adicionar quarentena de política:
Aqui, você pode configurar:
- Nome da quarentena: para ex., DkimQuarantine
- Período de retenção: Depende das necessidades da sua empresa e da ação padrão. Após o período de retenção do e-mail, ele será excluído ou liberado e entregue, determinado pela sua seleção, conforme mostrado na imagem:
Etapa 3. Filtro de entrada para ESA
a. Criar um filtro de conteúdo de entrada para ESA:
Navegue até ESA > Políticas de e-mail > Filtros de conteúdo de entrada > Adicionar filtro.
- Primeira seção: Você pode configurar o Nome, Descrição e Ordem do filtro:
- Segunda seção: Adicionar condição. Você pode adicionar mais de uma condição e pode configurar mais filtros de conteúdo para tomar medidas na verificação DKIM:
Resultados de autenticação esperados e significado:
- Aprovado: A mensagem passou nos testes de autenticação.
- Neutro: A autenticação não foi executada.
- Temperatura: Ocorreu um erro recuperável.
- Erro permanente: Ocorreu um erro irrecuperável.
- Falha: Falha nos testes de autenticação.
- Nenhum. A mensagem não foi assinada.
Note: Requisitos de verificação DKIM: O remetente deve assinar a mensagem antes que ela possa ser verificada. O domínio de envio deve ter uma chave pública disponível no DNS para verificação.
- Terceira seção: Selecione uma ação. Você pode adicionar mais de uma ação, como adicionar uma entrada de log, enviar para quarentena, descartar e-mail, notificar etc. Nesse caso, selecione a quarentena configurada anteriormente, como mostrado na imagem:
Adicionar novo filtro à política de fluxo de e-mail:
Depois que um filtro for criado. A partir do ESA, adicione o filtro em cada política de fluxo de e-mail onde você deseja verificar o DKIM com uma ação final. Navegue até ESA> Políticas de e-mail >Políticas de recebimento de e-mail, como mostrado na imagem:
Clique na coluna Filtros de conteúdo e na política de fluxo de e-mail.
Note: A ação (usar padrão) não significa que ela está configurada como Configurações de política padrão. Configure cada política de fluxo de e-mail com os filtros necessários.
b. Criar um filtro de mensagens para ESA:
Todos os filtros de mensagens são configurados a partir da CLI do ESA. Digite o comando Filters e siga as instruções:
ESA. com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- IMPORT - Import a filter script from a file.
[]> NEW
Enter filter script. Enter '.' on its own line to end.
DKIM_Filter:
If (dkim-authentication == "hardfail" )
{
quarantine("DkimQuarantine");
}
.
1 filters added.
Depois que o filtro for criado, revise a legenda: 1 filtros adicionados.
As condições e ações a serem configuradas são as mesmas usadas pelo filtro de conteúdo de entrada.
Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
Filtro de conteúdo de entrada:
- Da interface de usuário da Web do ESA (WebUI)
a. Verifique se o filtro está configurado:
Navegue até ESA >Políticas de e-mail >Filtros de conteúdo de entrada. O filtro deve ser configurado de acordo com a ordem selecionada anteriormente na lista exibida.
b. Verifique se o filtro está aplicado:
Navegue para ESA>Políticas de e-mail >Políticas de e-mail de entrada.
O nome do filtro deve ser mostrado na coluna Filtros de conteúdo e na linha de política de fluxo de e-mail. Se a lista for ampla e você não puder ver o nome, clique na lista de filtros para identificar os filtros aplicados à diretiva.
Filtro de mensagem:
From ESA CLI:
ESA. com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> list
Num Active Valid Name
1 Y Y DKIM_Filter
A lista mostra se o filtro está configurado e ativo.
Troubleshoot
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
Verifique a configuração:
Você deve garantir que:
- A política de fluxo de e-mail tem dkim: sobre a verificação
- Há uma ação configurada em um filtro de conteúdo ou filtro de mensagem
- No caso de um filtro de conteúdo, valide se o filtro está associado a um fluxo de correio
Verificar o rastreamento de mensagens:
O rastreamento de mensagens permite observar:
- O resultado da verificação DKIM, por exemplo: permfail
- A entrada de log configurada (se uma foi configurada)
- O filtro aplicado (nome e ação tomada)
Rastreamento do ESA:
Fri Apr 26 11:33:44 2019 Info: MID 86 ICID 98 From: <user@domain.com>
Fri Apr 26 11:33:44 2019 Info: MID 86 ICID 98 RID 0 To: <userb@domainb.com>
Fri Apr 26 11:33:44 2019 Info: MID 86 Message-ID '<3903af$2r@mgt.esa.domain.com>Fri Apr 26 11:33:44 2019 Info: MID 86 DKIM: permfail body hash did not verify [final]
Fri Apr 26 11:33:44 2019 Info: MID 86 Subject "Let's go to camp!"
Fri Apr 26 11:33:44 2019 Info: MID 86 ready 491 bytes from <user@domain.com>
Fri Apr 26 11:33:44 2019 Info: MID 86 matched all recipients for per-recipient policy Allow_only_user in the inbound table
Fri Apr 26 11:33:46 2019 Info: MID 86 interim verdict using engine: CASE spam negative
Fri Apr 26 11:33:46 2019 Info: MID 86 using engine: CASE spam negative
Fri Apr 26 11:33:46 2019 Info: MID 86 interim AV verdict using Sophos CLEAN
Fri Apr 26 11:33:46 2019 Info: MID 86 antivirus negative
Fri Apr 26 11:33:46 2019 Info: MID 86 AMP file reputation verdict : UNSCANNABLE
Fri Apr 26 11:33:46 2019 Info: MID 86 using engine: GRAYMAIL negative
Fri Apr 26 11:33:46 2019 Info: MID 86 Custom Log Entry: The content that was found was: DkimFilter
Fri Apr 26 11:33:46 2019 Info: MID 86 Outbreak Filters: verdict negative
Fri Apr 26 11:33:46 2019 Info: MID 86 quarantined to "DkimQuarantine" by add-footer filter 'DkimFilter '
Fri Apr 26 11:33:46 2019 Info: Message finished MID 86 done
Informações Relacionadas